Правила обогащения
Обогащение событий – это дополнение событий информацией, которая может быть использована для выявления инцидента и при проведении расследования.
Правила обогащения позволяют добавлять в поля события дополнительную информацию путем преобразования данных, уже размещённых в полях, или с помощью запроса данных из внешних систем. Например, в событии есть имя учётной записи пользователя. С помощью правила обогащения вы можете добавить сведения об отделе, должности и руководителе этого пользователя в поля события.
Правила обогащения можно использовать в следующих сервисах и функциях KUMA:
Доступные параметры правил обогащения перечислены в таблице ниже.
Вкладка Основные параметры
Параметр | Описание |
---|---|
Название | Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. |
Тенант | Обязательный параметр. Название тенанта, которому принадлежит ресурс. |
Тип источника данных | Обязательный параметр. Выпадающий список для выбора типа входящих событий. В зависимости от выбранного типа отображаются дополнительные параметры: |
Отладка | Переключатель, с помощью которого можно включить логирование операций сервиса. По умолчанию логирование выключено. |
Описание | Описание ресурса: до 4000 символов в кодировке Unicode. |
Фильтр | Блок параметров, в котором можно задать условия определения событий, которые будут обрабатываться этим ресурсом. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. |
Предустановленные правила обогащения
В поставку KUMA включены перечисленные в таблице ниже правила обогащения.
Предустановленные правила обогащения
Название правила обогащения | Описание |
[OOTB] KATA alert | Используется для обогащения событий, поступивших от KATA в виде гиперссылки на алерт. Гиперссылка размещается в поле DeviceExternalId. |